LGPD nas Software Houses. Se você possui uma software house, certamente já ouviu falar da nova Lei Geral de Proteção de Dados (LGPD) que está gerando muitas dúvidas sobre sua implementação e quais impactos ela irá causar.

 A LGPD, ou Lei Nº 13.709, foi aprovada em agosto de 2018, e deve entrar em vigor em 2021. O que não dá às empresas muito tempo para se adaptarem às suas regras, então, é muito importante que você se informe sobre ela para adaptar a sua software house as suas mudanças.

 As mudanças da LGPD irão atingir todas as atividades que se utilizarem de algum dado pessoal, estabelecendo regras e obrigações específicas para essas empresas, à fim de que haja uma maior proteção dos dados pessoais. Ela teve como base a lei chamada General Data Protection Regulation (GDPR), que está em vigência em países da União Européia desde 2018.

O que a LGPD impacta nos dados (e onde a Software House está inserida nesse contexto)

 Quanto mais uma empresa está envolvida com dados pessoais, mais a LGPD se torna severa em relação a ela. As software houses, por trabalharem com uma quantidade de dados imensa, estão na mira desta lei. Daí vem o valor de você estar a par dela e conhecer as medidas necessárias para que não venha ter dores de cabeça.

A LGPD deixa bem claro a necessidade das empresas explicitarem o porquê delas estarem pedindo os dados das pessoas, e como elas vão usá-las. Uma empresa só poderá recolher dados que realmente serão de total necessidade, sendo que motivações mal definidas e generalizadas não serão aceitas.

Além disso, a transparência das empresas também é cobrada pela nova lei exigindo que elas deem uma opção facilitada de exclusão de dados pelo cliente. Tudo isso aliado com um forte sistema de segurança para impedir que essas informações vazem.

Sistemas de segurança que incluem, por exemplo, DPIA (Data Protection Impact Assessment), que fazem com que o fluxo de dados pessoais na empresa sejam mapeados e certificados digitais corporativos que identificam pessoas que tratam dos dados, para que elas sejam responsáveis por tais informações e possam justificar possíveis irregularidades ou erros.

As notas fiscais eletrônicas também sofreram mudanças devido a LGPD, pois consultas feitas com as chaves de acesso agora podem ser feitas somente parcialmente.

Quais os momentos que a Software Houses precisam tratar dados?

O tratamento de dados pela software house começa pela sua coleta, deixando explícito no site o motivo dela existir. Também deve ser explicado que, caso o titular dos dados queira, ele pode atualizar ou excluir os dados quando ele bem entender.

Se a empresa, seja por qual motivo for, quiser dar uma nova finalidade para os dados pessoais que coletou, a qual não foi avisada ao titular dos dados anteriormente, ela terá de entrar em contato com o titular dos dados e pedir a sua autorização para dar essa nova finalidade aos dados.

Depois que a software house estiver com os dados armazenados, ela deve tomar medidas de segurança para que estes dados não vazem. Além de colocar funcionários específicos e devidamente autorizados para manipulá-los.

Com essas medidas, mesmo que você caia em alguma irregularidade, qualquer penalidade que você sofrer será atenuada pelas ações de segurança que você tomou previamente.

Qual seu papel de Agente na LGPD?

Um líder empresarial, especialmente de uma software house, deve fazer de tudo para ser transparente com os dados pessoais que possui. Para isso, ele deve informar ao titular desses dados a razão da empresa ao usar essas informações, pedindo seu consentimento de modo bastante claro.

Você pode fazer isso, por exemplo, colocando no seu site que informações do usuário podem ser coletadas para determinado fim e fazer um pedido de autorização que uma pessoa poderá aceitar clicando em um simples botão escrito “Aceito”.

Quanto ao uso de dados na sua software house, deve haver um funcionário que tenha uma assinatura digital ou carimbo do tempo, para que fique registrado quem é o responsável que dá acesso aos dados juntamente com o momento exato em que dados foram repassados.

Por fim, invista em sistemas de segurança que ajudem a evitar ataques externos de hackers, como um banco de dados que tenha um acesso restrito. Se as informações vazarem, também é necessário que haja programas que impeçam a leitura delas, evitando o seu indevido uso.

Quais as penalidades da LGPD nas Software Houses?

Caso a LGPD seja descumprida, a punição varia de acordo com a gravidade da infração, sendo que ela pode gerar uma multa de até 2% do faturamento total da empresa, com o limite de R$ 50 milhões.

A punição dada a uma empresa que cometer uma infração será atenuada de acordo com as medidas preventivas e corretivas que ela havia tomado antes que a infração acontecesse, como procedimentos internos de proteção de dados e políticas de boas práticas.

Em casos mais graves, as empresas podem até ter suas atividades suspensas total ou parcialmente. A fiscalização das empresas será feita pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da Presidência da República que tem a responsabilidade de acompanhar e aplicar o que diz a LGPD.

Os riscos ligados a quem extrai dados de APIs gratuitas

A API (Application Programming Interface), é, por diversas vezes, compartilhada pelas empresas para que outros criadores de software desenvolvam produtos baseados no seu serviço.

Quando se utiliza uma API gratuita, a empresa acaba correndo alguns riscos de segurança, pois pessoas mal-intencionadas podem procurar brechas no seu programa para que consigam informações da sua empresa e de seus clientes.

São várias as formas de quebra de segurança que uma API gratuita pode proporcionar:

• Injeção, que acontece quando se envia dados maliciosos a um “interpretador”, que podem ser consultas ou comandos que geram ações indesejadas;
  
• Quebra de autenticação, que leva a acessos não autorizados, que dificilmente são rastreados;
  
• Vazamento de dados sensíveis, principalmente se não estiverem criptografados;
• Falhas em arquivos, que podem levar a extração de dados, algo que acontece principalmente em processadores antigos;
  
• Quebra do controle de acesso, que, apesar de ser facilmente detectado, ainda incomoda muito;
  
• Falha causada pela configuração incorreta de segurança, que permite a existência de ações indesejadas, provocando estragos generalizados;
  
• Cross-Site Scripting (XSS), que ocorre quando scripts adicionam outros scripts antes dos dados serem enviados para o browser e executados, o que dá a possibilidade de que as sessões sejam sequestradas e encaminhadas para sites maliciosos;
  
• Desserialização Insegura, que acontece quando aplicativos acabam sendo distribuídos com listeners públicos;
  
• Vulnerabilidades conhecidas que são detectadas por meio do scanning ou análise manual;
  
• Logging e monitoramento insuficientes, que é o registro inadequado de falhas, falta de alertas e bloqueios abrindo as portas para ataques.

Uma saída para as APIs gratuitas

As APIs gratuitas podem causar diversos problemas para uma empresa se as medidas de segurança não forem tomadas ao utilizá-las. Com a LGPD nas Software Houses, cometer esse tipo de erro pode custar muito caro, além de uma possível interrupção nas atividades da empresa.  Portanto, você não pode se dar ao luxo de correr esses riscos, e nem precisa, pois pode utilizar soluções como o Basefy.

O Basefy é uma solução para os problemas com as APIs porque ele é uma inteligência de dados que os enriquece fazendo com que tudo que venha da API fique legalizado. O que quer dizer que a sua software house não precisa se preocupar com os problemas citados acima nem com os dados que ela extrair da API do Basefy. Se você tiver uma base de dados para ser legalizada, o Basefy é o programa certo para a limpar.

Conheça a Solução Basefy